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摘 要 :针对 经 典 相关 功 耗 分 析 过 程 中 存在 噪声 等 因素 的 影响 ,基于 汉 明 重量 与 功 耗 轨迹 之 间 存 在 线性 相关 的 特性 ,提出 

一 种 针对 AES 密码 芯片 的 相关 功 耗 分 析 方 法 。 根 据 密码 算法 S 盒 输出 中 间 值 汉 明 重量 分 布 不 均匀 的 特性 ,利用 区 分 比 将 

正确 密 钥 与 错误 密 钥 进行 筛选 ,得 到 与 功 耗 轨 迹 相 关 性 较 强 的 一 组 明文 。 在 密 钥 恢 复 阶 段 , 通 过 观察 这 组 明文 输入 找到 前 
2 个 S 盒 的 泄漏 点 后 ,利用 分 别 猜 测 法 逐一 找 出 剩余 14 个 S 盒 的 泄漏 区 间 , 而 无 需 遍 历 所 有 功 耗 轨 迹 即 可 捕获 剩余 字 节 的 

族 钥 信息 。AT89S52 芯片 实验 分 析 表 明 , 采 用 此 方法 仅 需 9 条 明文 和 对 应 功 耗 轨迹 即 可 以 90% 的 成 功率 正确 恢复 出 AES 

单个 字 节 密 钥 信息 ,计算 复杂 度 仅 为 经 典 相 关 功 耗 分 析 的 4. 1% ,显著 提 升 了 相关 功 耗 分 析 的 效率 。 
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Asbstract: Aiming at the influence of the noise and other factors in the process of classical correlation power analysis, based 


the linear correlation between Hamming weight and power traces, a correlation power analysis method for AES crypto- 


\graphic chip is proposed. According to the uneven distribution of the median Hamming weight of the Sbox output of the 
cryptographic algorithm, a set of plaintexts with strong correlation with the power traces is obtained by filtering the correct 
keys and the wrong keys by using the discrimination ratio. In the stage of key recovery, the leakage points of the first two 
S-boxes are found by observing this set of plaintext inputs, and the leakage intervals of the remaining 14 S-boxes are found 
one by one by using the separate guessing method, so that the key information of the remaining bytes can be captured with- 
out traversing all power traces. The experimental analysis of AT89S52 chip shows that the proposed method can correctly 
recover the one-byte key of AES with 90% success rate by using only 9 plaintexts and corresponding power traces, and the 
computational complexity is only 4. 1% of the classical correlation power analysis, which significantly improves the efficien- 
cy of the correlation power analysis. 
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由 比利时 的 2 位 密码 学 者 Joan Daemen 和 Vin- 
cen Rijmen 共同 设计 完成 的 高 级 加 密 标准 AES, 采 
用 典型 的 替代 /置换 结构 ,具有 较 高 的 安全 性 , 较 快 的 
加 密 解密 速度 及 可 便捷 地 在 各 种 软件 和 硬件 平台 上 
使 用 等 特点 ,目前 已 成 为 全 球 备 受 关 注 和 广泛 使 用 的 
分 组 密码 之 一 。 

侧 信 道 技术 利用 密码 算法 在 执行 过 程 中 泄露 的 
物理 信息 来 恢复 密 钥 。 如 通过 密码 算法 执行 的 能 量 
消耗 四、 执行 时 间 中 电磁 信息 外 、 声 音 忠 等 直接 获取 
密码 算法 的 密 钥 , 与 传统 密码 分 析 相 比 , 侧 信道 分 析 
更 具有 实效 性 ,对 密码 设备 的 正常 运作 产生 了 严重 威 
胁 。 目 前 国内 外 主流 的 安全 测评 机 构 均 把 密码 设备 
抵抗 侧 信道 攻击 的 能 力作 为 衡量 其 安全 性 的 重要 指 
标 之 一 。 

T Kocher 等 中 利用 简单 能 量 分 析 (simple power 
apflysis ,简称 SPA) 和 差分 能 量 分 析 (differential 
pGWer analysis, 简 称 DPA) 成 功 恢复 出 了 DES 算法 
的 余 钥 信息 。Brier 等 中 利用 功 耗 能 量 分 析 (correla- 
tiGDD power analysis, 简称 CPA) 成 功 恢复 出 AES 算 
法 移 密 钥 信 息 。 相 关 功 耗 分 析 通 过 利用 密码 设备 汇 
韦 玖 物理 信息 与 S 盒 输出 中 间 值 之 间 的 统计 学 规律 
来 分 析 密码 设备 密 钥 。 该 方法 利用 输出 S 盒 的 多 比 
特 信 息 建立 模型 恢复 密 钥 ,与 SPA 和 DPA 相 比 , 相 
关 户 耗 分 析 所 利用 的 中 间 值 信息 更 多 ,因而 其 攻击 效 
果 孔 比 前 2 种 方法 更 优 。Kim 等 外 利用 选择 功 耗 轨 
馆 的 方法 来 恢复 DES 和 AES 的 密 钥 。Hospodar 
等 中 将 机 器 学 习 用 于 侧 信道 分 析 。Heuser 等 四 将 支 
持 商 量 机 (SVM) 用 于 特征 值 的 预 处 理工 具 和 多 比特 
汉 明 重量 模型 ,以 恢复 AES 的 密 钥 信 息 , 其 恢复 一 个 
字 征 密 钥 需要 大 约 50 条 功 耗 轨 迹 。 文 献 [9] 将 神经 
网 络 用 于 侧 信道 分 析 , 仅 需 一 条 功 耗 轨 迹 即 可 恢复 出 
AES 的 密 钥 信息 。Kim 等 "提出 一 种 通过 原始 数 
据 的 主 成 分 分 析 来 提高 相关 系数 的 分 析 方 法 。 欧 长 
海 等 提出 了 一 种 基于 汉 明 重量 的 放大 模板 攻击 方 
法 ,大 约 需 要 48 条 功 耗 轨 迹 即 可 恢复 出 AES 一 个 字 
节 的 密 钥 , 有 效 提 高 了 侧 信道 的 攻击 效率 。Bart- 
kewiz 等 "J 引入 了 泄露 原型 学 习 的 概念 ,并 将 其 用 于 
对 AES 的 差分 侧 信 道 分 析 , 通 过 每 次 1 000 条 功 耗 
轨迹 的 平均 进行 学 习 求解 ,其 攻击 复杂 度 相 对 于 传统 
侧 信道 分 析 仍 较 大 。Picek 等 中 提出 了 一 种 用 于 侧 
害 道 分 析 的 分 层 分 类 方法 。Eloide 等 中 强调 了 互信 
息 和 成 功率 在 侧 信道 分 析 中 的 重要 性 ,但 其 在 恢复 密 
钥 过 程 中 的 计算 复杂 度 和 存储 复杂 度 仍 较 大 。Ding 
等 中 针对 AES 提出 了 一 种 基于 遗传 算法 的 多 筛 法 
侧 信道 分 析 方法 ,大 约 需要 280 条 功 耗 轨 迹 可 成 功 恢 
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复出 AES 的 密 钥 信息 ,与 经 典 侧 信 道 分 析 相 比 ,其 计 
算 复杂 度 有 了 较 大 提高 。 近 年 来 ,许多 学 者 借助 机 带 
学 习 对 密码 算法 进行 侧 信 道 分 析 "“。Bartkewiz 
等 中 提出 的 攻击 方法 ,在 攻击 前 需 将 大 量 的 功 耗 轨 
迹 信息 作为 学 习 样 本 ,在 数据 样本 较 少 时 无 法 正确 恢 
复 密 钥 信 息 , 且 其 计算 量 仍 较 大 。Ding 等 "” 通过 多 
种 群 遗传 算法 的 相关 功 耗 分 析 来 解决 传统 遗传 算法 
过 早 收敛 的 问题 ,但 在 离线 恢复 阶段 所 需 计 算 量 较 
大 ,在 样本 不 足 时 易 陷入 局 部 最 优 解 ,使 得 攻击 的 成 
功率 较 低 。 如 何 减 少 相关 功 耗 分 析 所 需要 的 功 耗 轨 
迹 数量 ,以 提高 攻击 效率 和 成 功率 ,是 目前 或 待 解决 
的 问题 。 
鉴于 此 ,利用 S 盒 输出 中 间 值 汉 明 重量 分 配 不 均 
匀 的 性 质 ,将 输出 中 间 值 分 类 后 ,选择 区 分 较 大 的 汉 
明 重 量 与 其 对 应 明文 的 功 耗 轨 迹 来 进行 密 钥 恢复 。 
在 密 钥 恢复 阶段 ,结合 分 别 猜测 法 进行 相关 系数 求 
解 。 与 经 典 相关 功 耗 分 析 相 比 , 该 方法 能 在 仅 需 9 条 
功 耗 轨迹 条 件 下 以 90% 的 成 功率 正确 恢复 出 AES 
一 个 字 节 的 密 钥 信息 ,计算 复杂 度 仅 为 经 典 相 关 功 耗 
分 析 的 4. 1%。 


1 密码 算法 AES 与 经 典 相关 功 耗 分 析 的 介绍 
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1.1 密码 算法 AES 简介 


高 级 加 密 标准 AES 分 组 的 长 度 为 128 bit, 其 密 
钥 的 长 度 有 128、192 和 256 bit 三 种 。 不 同 密 钥 长 度 
所 需 迭 代 的 轮 数 也 不 同 : 密 钥 长 度 为 128 bit 时 , 需 迭 
代 的 轮 数 为 10 轮 ; 密 钥 长 度 为 192 bit 时 , 需 迭 代 的 
轮 数 为 12 轮 ; 密 钥 长 度 为 256 bit 时 , 需 迭 代 的 轮 数 
为 14 轮 。128 bit 的 中 间 状 态 可 用 一 个 状态 矩阵 表 
示 ,每 个 状态 可 看 作 一 个 8 bit 的 字 节 , 则 16 个 字 节 
的 编号 为 

To0 Xol 六 以 村 | 
10 Il 12 X13 
20 X21 X22 X23 
0 二 及 2 | 

除了 在 首 轮 运算 前 需要 先进 行 轮 密 钥 加 操作 , 末 
轮 无 需 进 行列 混合 操作 外 ,其 他 轮 函 数 的 操作 均 由 字 
节 替 换 (SB), 行 移 位 (SR)、 列 混淆 (MC) 、 密 钥 加 法 
(KA) 四 种 运算 构成 。 

轮 函 数 中 唯一 的 非 线 性 操作 是 字 节 替换 ,每 个 S 
盒 由 一 个 8 bit 输入 和 8 bit 输出 的 查找 表 组 成 ,表示 
为 y;, = 二 SCzi,),i,r E10,3j, 其 中 ; y;,, 为 S 盒 的 
输出 ; zj 为 S 盒 的 输入 ; S 为 S 盒 查 表 操 作 。 

行 移 位 变换 将 对 字 节 替换 后 的 每 个 状态 循环 移 


第 1 期 周 
位 不 同 的 位 移 大 小 。 具 体 移 位 为 
Xo ol Xo Xo To Xo Xo Xo 


Z10 Xn Xi X13| 行 移 位 操作 |Xn X12 Xl Xl 
XH Xa XT» Xn XT» X23 20 Xa 
30 Xa Xa X33 33 30 Xa Xo 
列 混合 变换 是 对 中 间 状 态 矩 阵 中 的 每 列 进行 操 
作 , 每 个 状态 可 视 为 有 限 域 GF(2”) 上 的 一 个 布尔 表 
轮 密 钥 加 需 将 每 个 中 间 的 状态 
密 钥 &;., 进行 按 位 异 或 操作 。 


1.2 经 典 相 关 功 耗 分 析 流 程 


密码 设备 在 执行 加 密 或 解密 操作 时 产生 的 能 量 
消耗 : 与 密码 算法 的 中 间 值 h 存在 如 下 线性 关系 : 
t=ah 二 Tb， (1) 
看: h 为 S 盒 输出 中 间 值 的 汉 明 重量 ;a .2 为 常数 。 
采用 大 量 的 功 耗 轨迹 分 析 某 时 刻 密码 设备 的 能 


Xi 与 一 个 轮子 


阳 等 ;一 种 针对 AES 密码 芯片 的 相关 功 耗 分 析 方 法 ，，  ，、,， ,43 


ULTIMAIVO |TF#RND 1 
能 量 消耗 ; ;二 分 别 为 列 h;、z; 的 平均 值 ; my， 为 列 户 
与 1; 的 线性 关系 , i 二 1,2,…,K,j 二 1,2,…,T。 

在 步骤 4) 中 , 当 采 用 汉 明 重量 模型 对 每 个 字 节 
密 钥 做 假设 能 量 消耗 时 , ”条 明文 与 所 有 候选 密 钥 通 
过 异 或 运算 后 ,经 过 S 盒 并 计算 其 汉 明 重量 。 因 汉 明 
重量 只 有 9 种 ,相同 的 n 条 明文 与 不 同 的 候选 密 钥 
ki,i E (0,1,…,K) 计算 所 得 的 汉 明 重量 很 大 程度 
上 是 相同 的 ,这 对 利用 统计 分 析 计 算 相 关系 数 求解 正 
确 密 钥 有 较 大 的 噪声 干扰 。 上 鉴于 此 ,提出 如 下 改进 的 
相关 功 耗 分 析 方法 。 


2 改进 的 相关 功 耗 分 析 方 法 与 功 耗 轨 人 迹 预 处 理 


2.1 改进 的 相关 功 耗 分 析 方 法 

性 质 1 假设 明文 P,; 的 第 1 个 字 节 为 P;, ,而 
对 应 正确 密 钥 & 的 第 1 个 字 节 为 km ,通过 运算 y 一 
SP 四 2) 可 知 ,S 盒 的 输出 中 间 值 y 的 区 分 比 


是 滑 邦 ,并 将 能 量 消耗 视 为 被 处 理 中 间 值 的 函数 ,可 
人 林 出 密码 设备 的 密 钥 信息 ,具体 步骤 如 下 ， 
CNJD 将 密码 算法 的 某 个 中 间 值 y 一 (p ,) 作 为 攻 


$B, 其中; p 为 已 知 的 明文 ;& 为 待 恢复 的 正确 


)2) 采 集 密码 设备 的 能 量 消耗 : 当 密 码 设备 正在 运 
时 ,利用 示波器 采集 该 设备 对 应 的 能 量 值 消耗 1。 
3) 计 算 h :对 于 每 个 可 能 的 候选 密 钥 &', 计算 该 
侯 遂 密 钥 对 应 的 及 。 
吧 4) 利 用 汉 明 重量 模型 ,计算 对 应 的 能 量 消耗 。 
.三 5) 对 于 每 个 候选 密 钥 & 4， 计算 与 功 耗 轨迹 中 
所 有 采样 点 1 之 间 的 相关 性 系数 ,所 得 相关 系数 最 大 
的 密 钥 即 为 正确 密 钥 。 

相关 功 耗 分 析 利 用 的 统计 学 原理 是 :密码 算法 在 
设备 中 执行 不 同 的 操作 时 ,消耗 的 能 量 也 不 同 , 若 候 
选 密 钥 是 错误 的 ,每 条 明文 通过 计算 后 所 得 对 应 的 中 
间 值 是 随机 的 ,与 对 应 功 耗 轨迹 计算 所 得 的 相关 系数 
很 小 ;车 候选 密 钥 正确 , 则 每 条 明文 与 对 应 正确 密 钥 
运算 后 所 得 的 假设 能 量 消耗 与 功 耗 轨 迹 一 一 对 应 ,所 
得 相关 系数 最 大 。 利 用 该 方法 可 正确 恢复 出 密码 设 
备 的 完整 密 钥 信 息 。 

相关 性 系数 求解 公式 为 


> (jy hi) (4,; —7) 
有 p=1 ; 《0 


DY ys hi > (一 五) 

p=1 p=1 
其 中 :PP 为 明文 条 数 ;hh,,; 为 第 P 条 明文 的 第 i 个 字 节 
的 假设 能 量 消耗 ; i,,; 为 第 P 条 明文 的 第 j 列 的 真实 


是 不 同 的 ,其 中 区 分 比 表 示 在 P;" 及 其 输出 值 汉 明 
重量 Wn(y) 冉 定时 ,所 有 满足 y= 二 s (P,”k*") 
的 候选 密 钥 “个 数 之 和 的 倒数 。 

以 8 bit S 盒 为 例 , 明 文书; 的 第 1 个 字 节 已; 
与 正确 密 钥 & 的 第 1 个 字 节 &A ”经 S 盒 运算 后 ,输出 
值 的 汉 明 重量 只 有 {0,1,2,3,4,5,6,7,8}) 九 种 ,分 别 
对 应 全 ,8,28,35,70,35,28,8,1) 九 种 候选 密 钥 值 。 
因此 ,P; 与 正确 密 钥 km 在 密码 设备 中 运算 得 到 的 
汉 明 重量 在 0 或 8 区 间 的 区 分 比 为 Ro0,8) 二 1/1; 在 1 
或 7 区 间 的 区 分 比 为 Ru = 1/8; 同 理 ， 下 6) = 
1/28;Ro.s =1/35; Ro, =1/70。 

由 以 上 分 析 可 知 , 当 正确 密 钥 在 汉 明 重量 为 0 或 
8 区 域 时 ,将 正确 密 钥 & "从 候选 密 钥 和 中 筛选 出 
来 的 概率 为 Ro,s) =1/1; 同 理 , R60.; = 1/8, R02,60, 
1/28,R6.s 二 1/35, Row 二 1/70。 因 此 ,在 相关 功 耗 
分 析 阶 段 , 尽 可 能 选择 区 分 比 大 的 明文 与 其 对 应 的 功 
耗 轨迹 进行 密 钥 恢 复 ,能 够 使 正确 密 钥 更 容易 从 候选 
密 钥 中 被 科 选 出 。 

以 AES-128 第 1 字 节 为 例 , 说 明 采 用 区 分 比 最 
小 的 明文 与 其 对 应 功 耗 轨迹 恢复 密 钥 时 的 局 限 性 。 
当 输 入 相同 明文 与 不 同 候选 密 钥 并 经 过 S 盒 运 算 后 ， 
得 到 的 汉 明 重量 如 表 1 所 示 。 

从 表 1 可 看 出 ,对 于 猜测 一 个 字 节 的 密 钥 , 2””E 
N 条 明文 已 知 且 固定 , 功 耗 轨迹 与 明文 一 一 对 应 且 固 
定 。 当 候选 密 钥 为 0X11 时 ,上 述 n 条 明文 经 过 S 盒 
操作 ,输出 中 间 值 的 汉 明 重量 为 4; 当 候 选 密 钥 为 
0X17 时 , ”条 明文 经 过 S 盒 输出 的 汉 明 重量 也 为 4。 
其 2 列 假设 能 量 消耗 相同 ,用 相同 的 汉 明 重量 列 向 
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量 1 与 相同 的 功 耗 轨迹 列 向 量 1; 计算 相关 系数 , 则 
无 法 判断 正确 密 钥 的 唯一 性 。 仅 采用 汉 明 重量 为 4 
的 明文 和 功 耗 轨 迹 攻 击 结果 如 图 1 所 示 。 


表 1 输入 相同 明文 与 不 同 候选 密 钥 得 到 的 汉 明 重量 


输入 的 随机 明 候选 密 钥 为 0X11 时 ”候选 密 钥 为 0X17 时 
文 一 个 字 节 所 得 汉 明 重量 所 得 汉 明 重量 
0XDD 4 4 
OX41 4 4 
0X2C 4 4 
0X22 4 4 
OXDO 4 4 


“0 10 20 30 
和 能 量 迹 数 量 


40 50 60 70 80 90 100 


> 
温 ! 仅 采用 汉 明 重量 为 4 的 明文 和 功 耗 轨迹 攻击 结果 


© 
此 至 ,明文 每 个 字 节 的 所 有 可 能 只 有 256 种 , 当 侧 信 
道 谷 析 需 要 采集 大 量 功 耗 轨迹 时 ,会 产生 大 量 明文 字 
节 急 复 的 可 能 性 ,其 中 经 过 S 例 输出 汉 明 重量 为 4 的 
可 能 性 最 多 ,存在 汉 明 重量 分 配 不 均匀 的 现象 ,这 大 
影响 了 相关 系数 的 求解 ,进而 影响 相关 功 耗 分 析 的 
效率 。 鉴 于 此 ,提出 一 种 相关 功 耗 分 析 方法 ,具体 步 
又 如 下 : 
1) 将 密码 算法 的 某 个 中 间 值 h = (p ,k) 作为 攻 
2) 采 集 密码 设备 的 能 量 消耗 : 当 密码 设备 正在 执 


行 加 密 或 解密 时 ,利用 示波器 采集 该 设备 对 应 的 能 量 
消耗 。 


3) 计 算 :对 于 每 个 可 能 的 候选 密 钥 ,计算 该 
候选 密 钥 对 应 的 及。 

4) 计 算 的 假设 能 量 消耗 :对 每 个 候选 密 钥 ' 
计算 经 过 S 盒 输出 的 汉 明 重量 。 将 每 个 候选 密 钥 
输出 的 汉 明 重量 为 0 和 8 的 对 应 明文 作为 一 类 , 汉 明 
重量 为 1 和 7 的 对 应 明文 作为 一 类 , 汉 明 重量 为 4 的 


| 
对 应 明文 作为 一 类 ,以 此 类 推 。 

5) 对 于 每 个 候选 密 钥 & 和 , 通过 区 分 较 大 的 明文 
与 其 对 应 功 耗 轨迹 计算 相关 性 系数 ,所 得 相关 系数 最 
大 的 密 钥 为 正确 密 钥 。 


2.2 分 别 猜测 法 的 功 耗 轨迹 预 处 理 


经 上 述 明 文选 择 后 ,采用 经 典 相 关 功 耗 进 行 分 
析 ,通过 计算 所 得 的 汉 明 重量 矩阵 与 所 采集 的 功 耗 轨 
迹 的 所 有 采样 点 来 计算 皮尔 逊 相关 系数 ,从 而 恢复 正 
确 密 钥 。 此 过 程 计算 量 相 当 大 ,因为 每 条 明文 都 需 与 
候选 密 钥 异 或 后 ,经 S 盒 运算 ,再 与 采集 的 功 耗 轨 迹 


的 所 有 采样 点 来 计算 相关 系数 。 这 些 采样 点 高 达 几 
干 甚至 几 十 万 ,大 大 影响 了 相关 功 耗 分 析 的 攻击 效 
率 。 未 经 数据 预 处 理 的 原始 功 耗 轨 迹 如 图 2 所 示 。 


800 


电压 值 /mV 


000 10002000300040005000600070008000 9000 
采样 


图 2 未 经 预 处 理 的 原始 功 耗 轨迹 


利用 分 别 猜测 法 对 功 耗 轨迹 进行 预 处 理 , 具 体操 
作 如 下 : 

1) 采 用 经 典 相 关 功 耗 分 析 , 分别 找 到 第 1.2 个 S 
盒 的 泄漏 点 Di、D，， 如 图 3、4 所 示 。 将 第 1 个 泄漏 
点 的 位 置 到 第 2 个 泄漏 点 的 距离 记 为 Az, 由 于 同一 
算法 在 同一 台 设 备 上 执行 相同 操作 ,选择 AES-128 
算法 第 1 轮 的 每 个 S 盒 的 输出 作为 攻击 点 , 则 其 在 执 
行 该 算法 时 整个 功 耗 轨迹 可 看 作 一 轮 的 16 个 S 盒 的 

2) 找 到 第 1.2 个 S 盒 的 泄露 位 置 后 ,采用 分 别 猜 
测 法 ,通过 泄漏 点 公式 

D,=Di 二 (nlD)Ar,3n<16 (6) 
计算 剩余 14 个 S 盒 的 泄漏 点 位 置 , 而 无 需 通 过 每 次 
都 遍历 所 有 采集 功 耗 轨迹 的 采样 点 来 寻找 泄漏 点 ,从 
而 恢复 该 字 节 的 密 钥 。 

3) 找 到 映射 后 的 对 应 泄漏 点 后 ,为 提高 实验 的 成 
功率 ,以 该 点 为 中 心 ,左右 2 边 各 选取 5 个 采样 点 , 共 
11 个 采样 点 ,组 成 一 个 泄露 小 区 间 ,作为 该 S 盒 的 汇 
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露 区 间 ,而 无 需 再 遍历 所 有 采样 区 间 , 进 而 通过 求 相 ， 
关系 数 来 恢复 密 铀 。 3 实验 与 分 析 

利用 上 述 方法 成 功 找 到 AES 的 16 个 S 盒 的 汽 
漏 点 ,如 图 5 所 示 。 


3. 1 模拟 实验 


在 Windows 平台 下 ,采用 C 语 言 对 AES 算 法 的 
0.6 功 耗 轨迹 进行 仿真 实验 。 在 仿真 实验 中 ,通过 添加 标 
0.4 准 差 分 别 为 c= 二 3.0 和 o==5.0 的 2 种 噪声 来 模拟 S- 
box 操作 的 功 耗 。 在 2 种 噪声 情况 下 ,使 用 相同 的 功 
耗 轨迹 ,分 别 利 用 经 典 相 关 功 耗 分 析 和 相关 功 耗 分 析 


源 方法 来 恢复 密 钥 信息 。 功 耗 轨迹 数 从 10 增加 到 
六 1 000, 间 隔 为 10, 每 组 实验 取 1 000 次 实验 的 平均 结 
"0; 局 > ~ > ~ y 、 
果 。 忽 略 排 序 操 作 的 计算 代价 ,计算 成 本 被 估算 为 相 
0 关系 数 的 平均 计算 次 数 ,实验 结果 如 图 6.7 所 示 。 表 
-0.8 379 2 为 在 成 功率 分 别 为 50%、90% 时 ,2 种 方法 所 需要 
0 I 功 耗 轨迹 交 4 计算 量 
5 0 1000 2000 300040005000 6000 7000 80009000 的 功 耗 轨 迹 数 和 相应 的 计算 量 。 
LO 米 1.0 六 ee wy -eg 
GO 09 | ; 全 Pw “ 
© 08r | We 2 
© 0.7 上 4 名 
GN 中 | 加 
"4 避 05| ， 4 从 
Co, 04| 。 < 
oo 0 03| ， 全 
吕 02| 5 全 -4 传统 CPA 
M0.2 : -新 选择 明文 
01 |， 入 多 
a ===(.4 2 
0 100 200 300 400 500 600 700 800 9001000 
[i 能 量 迹 数 量 
C08 879 本 
二 79 6 ”了 噪声 为 二 3.0 时 攻击 效率 
©O' 1 000 2 000 3 000 4 000 5 000 6 000 7 000 8 000 9 000 
采样 点 
1.0r pe 
图 4 第 1.2 个 S 盒 的 泄漏 点 | 四 惟 公 : 
0.6 0.7 上 了 
oe : 隐 
父 04| : A 
. 03| 从 
由 -0. 02| i -sa- 新 选择 明文 
沁 0.1| i ta “传统 CPA 
-06 0 200 400 600 800 1000 
1379 能 量 迹 数量 
08| | 879| 2378,70!3 879148 8805880 6 879 | 7l878 
i 379 1879 2 823979 4379 53806378 7379 7 ”噪声 为 c 一 5. 0 时 攻击 效率 
0 1000 2000 3000 4000 5000 6000 7000 8000 9000 
采样 点 


实验 结果 表明 , 当 c 一 3.0 时 ,相关 功 耗 分 析 方法 


合 卜 前 ; 漏 点 
图 5 16 个 字 节 S 盒 的 全 部 密 钥 泄漏 仅 需 110 条 功 耗 轨 迹 就 可 达到 90% 的 成 功率 ,而 经 
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表 2 不 同 噪声 下 成 功率 与 功 耗 轨 迹 条 数 和 计算 量 


攻击 方案 成 功率 /% Ee 正确 对 应 相关 系数 
功 耗 轨 迹 计算 量 功 耗 轨 迹 计算 量 
文献 [5] 350 1.147X10™ 470 1.541X10" 0.56 
本 研究 95 3. 930X 10 150 6.203 又 108 0. 63 
文献 [5] 510 1. 671X101 750 2.458X108 0. 67 
本 研究 a 110 4. 594 X10 310 1.282X108 0.78 


典 相关 功 耗 分 析 则 需要 510 条 ; 当 o==5.0 时 ,相关 功 
耗 分 析 方 法 仅 需 310 条 功 耗 轨迹 就 可 达到 90% 的 成 
功率 ,而 经 典 相关 功 耗 分 析 则 需要 750 条 , 且 相 关 功 
耗 分 析 方 法 计算 复杂 度 远 低 于 经 典 相 关 功 耗 分 析 方 
法 。 本 方案 的 男 一 个 优点 是 正确 密 钥 对 应 的 相关 系 
数 更 大 ,更 有 利于 正确 密 钥 的 恢复 。 


3-2- 单片机 上 的 实验 


, 它 丰 实 功 耗 轨迹 是 在 AT89S52 单片机 运行 时 采集 

,其 时 钟 频率 为 12 MHz, 时 钟 每 微 秒 震荡 12 个 

。 选 用 PICO Technology 示波器 ,采样 频率 为 

1GS/s。 将 AES-128 算法 烧 入 单片机 ,算法 在 执行 

“8OV A,@R0” 时 ,利用 间接 寻 址 将 S-box 的 输出 

晤 A 寄存 器 ,该 MOV 指令 泄露 了 S-box 输出 
汉 明 重量 信息 。 

加 随机 加 密 100 个 随机 明文 ,并 采集 100 条 功 耗 轨 
述 \ 在 进行 恢复 密 钥 时 ,对 于 每 个 可 能 的 候选 密 钥 ， 
基本 相关 功 耗 分 析 方 法 ,通过 含有 噪声 较 小 的 明文 与 
茂 允 应 的 功 耗 轨 迹 计算 皮尔 逊 相关 系数 , 仅 需 9 条 功 

迹 就 可 正确 恢复 出 AES-128 算法 第 1 轮 第 1 字 
节 蝎 密 钥 0X11 ,如 图 8 所 示 , 同 理 可 恢复 第 2 个 字 节 
0X22。 在 恢复 剩余 14 个 字 节 密 钥 时 ,采用 分 别 
猜测 法 ,无需 与 采集 功 耗 轨 迹 的 所 有 采样 点 进行 一 一 
遍历 , 仅 利 用 映射 后 的 采样 区 间 进 行 求解 。 在 恢复 第 


1.0 


一 错误 密 钥 


0.8 
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0.4 
注 02 
》 。 
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-0.4 

-0.6 

-0.8 


图 8 第 1 字 节 密 钥 相关 系数 与 能 量 数量 关系 


1 个 字 节 密 钥 时 ,对 本 方法 与 经 典 相关 功 耗 分 析 方法 
做 对 比 ,结果 如 图 9 所 示 。 本 方法 成 功 恢复 出 了 
AES-128 第 1 轮 的 16 个 字 节 的 正确 密 钥 , 如 图 10 
所 示 。 


1.0 | 
0.9| 
08| 
07| 

0.61| 

二 05| 
0.41 
03 上 
02 上 1 
01. 


--A- 传统 CPA 
x HW=3、4、5 
-a- 新 选择 明文 


相关 系数 


Oxcc 
aa0xbb ”0xdd Oxee Oxff 


100 130 20 250 300 
猜测 密 铀 


图 10 成 功 恢复 出 的 16 个 字 节 密 钥 


真实 环境 下 不 同 攻击 方案 的 攻击 效率 如 表 3 所 
示 , 真 实 功 耗 轨迹 环境 下 恢复 出 的 密 钥 与 模拟 环境 下 
一 致 ,表明 本 方法 是 有 效 的 。 当 成 功率 相同 时 ,本 方 
法 所 需 的 功 耗 轨迹 数 更 少 ,计算 复 杂 度 更 低 ,正确 密 
钥 对 应 的 相关 系数 更 大 ,更 有 利于 对 其 进行 侧 信道 
分 析 。 
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表 3 不 同 攻击 方案 的 攻击 效率 


、 功 耗 轨 人 正确 对 应 的 
攻击 方案 成 功率 /% 迹 数 计算 量 相关 系数 
文献 [5] 20 6. 96X 10° 0. 86 
文献 [6] 50 18 6.27X108 
本 研究 8 3.51X107 0. 97 
文献 [5] 28 9.75X108 0. 85 
文献 [6] 90 35 1.22X10 
本 研究 9 3.95X107 0.95 


4 结束 语 


利用 汉 明 重量 模型 ,针对 仅 泄露 汉 明 重量 的 密码 
芯片 AT89S52 提出 了 一 种 相关 功 耗 分 析 方 法 。 利 用 
S 盒 输出 中 间 值 汉 明 重 量 分 配 不 均匀 的 性 质 , 将 中 间 
依 的 汉 明 重 量 进 和 了 分 类 。 对 每 个 候选 密 钥 选择 区 分 
较 典 的 一 组 汉 明 重量 与 其 对 应 功 耗 轨 迹 ,再 结 和 


薄 测 法 对 功 耗 负 迹 进 和 I 
验 王 果 表明 ,通过 本 方法 仅 需 9 条 功 耗 轨迹 即 可 以 
96 静 的 成 功率 恢复 出 AES 一 字 节 的 密 钥 信息 ,其 计 
包公 为 未 典 相关 功 耗 分 析 的 4. 1%。 


KOCHER P,JAFFE J,JUN B. Differential power anal- 
=sJ ysis[C]//Annual International Cryptology Conference. 
Berlin, Heidelberg:Springer,1999:388-397. 

二 KOCHER P C. Timing attacks on implementations of 
Diffie-Hellman,RSA, DSS，and other systems[ C1|// 
-= Proceedings of the 16th Annual International Cryptolo- 
=— gy Conference on Advances in Cryptology. Berlin, Hei- 
:一 delberg: Springer,1996:104-113. 

AGRAWAL D, ARCHAMBEAULT B,RAO J R,et 
al The EM side-channel(s)[C]//International Work- 
shopon Cryptographic Hardware and Embedded Sys- 
tems. Berlin, Heidelberg: Springer, 2002:29-45. 
SHAMIR A, TROMER E. A coustic crypt analysis 
[LJ]. Journal of Cryptology,2017,30(2) :392-443. 
BRIER E,CLAVIER C,OLIVIER F. Correlation pow- 


er analysis with a leakage model [ C1]//International 


[4] 


[5] 


Workshop on Cryptographic Hardware and Embedded 
Systems. Berlin, Heidelberg:Springer,2004:16-29. 
KIM Y, SUGAWARA T, HOMMA N, et al. Biasing 


power traces to improve correlation in power analysis 


[6] 


attacks[LC |//First International Workshop on Con- 
structive Side Channel Analysis and Secure Design. 
Berlin, Heidelberg: Springer, 2010:77-80. 

HOSPODAR G, MULDER E, GIERLICHS B, et al. 
Least squares support vector machines for side-chan- 


nelanalysis[ J |]. Journal of Cryptographic Engineering， 


[8 


L9] 


[10] 


[11] 


[12] 


[13] 


[14] 


[15] 


[16] 


[17] 


[18] 


[19] 


阳 等 ;一 种 针对 AES 密码 芯片 的 相关 功 耗 分 析 方 法 ， ， ,47 


LTaNiVr 

2011,1(4) :293-302. 

HEUSER A,ZOHNER M. Intelligent machine homi- 
cide [LC ]//International Workshop on Constructive 
Side-Channel Analysis and Secure Design. Berlin, Hei- 
delberg:Springer,2012:249-264. 

MARTINASEK 2, ZEMAN V. Innovative method of 
the power analysis[ J |]. Radio Engineering,2013 ,22(2) : 
586-594. 

KIM Y,KO H. Using principal component analysis for 
Practical biasing of power traces to improve power ar- 
nalysis attacks[ C |]//International Conference on Infor- 
mation Security and Cryptology. Cham: Springer, 2013: 
109-120. 
欧 长 海 , 王 竹 , 黄 伟 庆 ,等 ,基于 汉 明 重量 模型 的 密码 
芯片 放大 模板 攻击 []]. 密码 学 报 ,2015,2(5) :477-486. 
BARTKEWITZ T. Leakage prototype learning for pro- 
filed differential side-channel cryptanalysis [J |]. IEEE 
Transactions on Computers,2015,65(6):1761-1774. 
PICEK S, HEUSER A,JOVIC A,et al. Climbing down 
the hierarchy: 


hierarchical classication for machine 
learning side-channel attacks[ C1]//International Con- 
ference on Cryptology in Africa Berlin, Heidelberg: 
Springer,2017:61-78. 

DE CHERISEY E,GUILLEY S, RIOUL O,et al Best 
information is most successful[ J |. IACR Transactions- 
on Cryptographic Hardware and Embedded Systems， 
2019 ,1(4) :49-79. 

DING Yaoling, WANG An, YIU Siu-min. An intelli- 
gent multiple sieve method based on genetic algorithm 
and correlation power analysis[ J |. IACR Cryptology 
ePrint Archive, 2019,2019:189. 

ZHANG Z, DING A A, FEI Y. A fast and accurate 
guessing entropy estimation algorithm for full key re- 
covery[L J |]. IACR Transactions on Cryptographic Hard- 
ware and Embedded Systems,2020,1(2) :26-48. 
NGUYEN P H,SAHOO D P. The interpose puf: se- 
cure puf design against state-of-the-art machine learn- 
ing attacks[ J |. IACR Transactions on Cryptographic 
Hardware and Embedded Systems, 2019, 1 (4): 243- 
290. 

ZAID G, BOSSUET L, HABRARD A,et al. Methodol- 
ogy for efficient CNN architectures in profiling attacks 
[LJ]. IACR Transactions on Cryptographic Hardware 
and Embedded Systems,2020,1(1) :1-36. 

MASURE L,DUMAS C, PROUFF E,et al. A compre- 
hensive study of deep learning for side-channel analysis 
LJ]. Cryptographic Hardware and Embedded Systems， 
2020(1) :348-375. 


编辑 : 张 所 滨 


